[Sandor]

Здравствуйте!

1. Перетащите файл C:\Users\1\Desktop\au\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK. Отчёт о работе прикрепите к вашему следующему сообщению.

2.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ordo]

Прошу.
Лог ClearLNK запаковал в zip, т.к. превысил объем разрешенный для прикрепления.

[Sandor]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Ordo]

AdwCleaner[S0].txt - лог после удаления, остальные три -- все по новой для повторной.
Спасибо.

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\1\AppData\Local\Temp\674735','');
 QuarantineFile('C:\Users\1\appdata\roaming\newsi_1\s_inst.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Schedule\Schedule.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\desktopy.ru\desktopy.exe','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Users\1\AppData\Roaming\desktopy.ru\desktopy.exe','32');
 DeleteFile('C:\windows\Tasks\At1.job','64');
 DeleteFile('C:\windows\system32\Tasks\At1','64');
 DeleteFile('C:\Users\1\AppData\Local\Schedule\Schedule.exe','32');
 DeleteFile('C:\windows\system32\Tasks\Daily Trigger ScheduleCD','64');
 DeleteFile('C:\Users\1\AppData\Local\Temp\674735', '32');
 DeleteFile('C:\Users\1\appdata\roaming\newsi_1\s_inst.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\desktopy','command');
 QuarantineFileF('C:\Users\1\appdata\roaming\newsi_1\','*', true,'',0 ,0);
 QuarantineFileF('C:\Users\1\AppData\Local\Schedule\','*', true,'',0 ,0);
 QuarantineFileF('C:\Users\1\AppData\Roaming\desktopy.ru\','*', true,'',0 ,0);
 DeleteFileMask('C:\Users\1\appdata\roaming\newsi_1\', '*', true);
 DeleteFileMask('C:\Users\1\AppData\Local\Schedule\', '*', true);
 DeleteFileMask('C:\Users\1\AppData\Roaming\desktopy.ru\', '*', true);
 DeleteDirectory('C:\Users\1\appdata\roaming\newsi_1\');
 DeleteDirectory('C:\Users\1\AppData\Local\Schedule\');
 DeleteDirectory('C:\Users\1\AppData\Roaming\desktopy.ru\');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. С ярлыками попробуем по-другому:
Файл

Цитата:

CheckBrowserLnk.log

из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

4. Еще раз повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Ordo]

Скрипт отработал, архив отправил.
Скрипт ClearLNK.vbs сказал, что обработал 0 ярлыков.
Новые логи в аттаче.
Спасибо.

[Sandor]

Проблема решена?

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

[Ordo]

Да, проблема вроде бы решена.
Спасибо большое.